ஃபயர்வால் என்பது நெட்வொர்க் பாதுகாப்பு சாதனமாகும், இது வன்பொருள் அல்லது மென்பொருள் அடிப்படையிலானது, இது உள்வரும் மற்றும் வெளிச்செல்லும் அனைத்து போக்குவரத்தையும் கண்காணிக்கிறது மற்றும் வரையறுக்கப்பட்ட பாதுகாப்பு விதிகளின் அடிப்படையில் அது குறிப்பிட்ட போக்குவரத்தை ஏற்றுக்கொள்கிறது, நிராகரிக்கிறது அல்லது குறைக்கிறது.
Accept : allow the traffic
Reject : block the traffic but reply with an “unreachable error”
Drop : block the traffic with no reply
ஃபயர்வால் பாதுகாக்கப்பட்ட உள் நெட்வொர்க்குகள் மற்றும் இணையம் போன்ற நம்பத்தகாத பிணையத்திற்கு இடையில் ஒரு தடையை நிறுவுகிறது.
ஃபயர்வால்களுக்கு முன்பு, ரவுட்டர்களில் வசிக்கும் அணுகல் கட்டுப்பாட்டு பட்டியல்களால் (ACL கள்) பிணைய பாதுகாப்பு செய்யப்பட்டது. ACL கள் நெட்வொர்க் அணுகல் குறிப்பிட்ட ஐபி முகவரிக்கு வழங்கப்பட வேண்டுமா அல்லது மறுக்கப்பட வேண்டுமா என்பதை தீர்மானிக்கும் விதிகள். ஆனால் ACL க்கள் அதைத் தடுக்கும் பாக்கெட்டின் தன்மையை தீர்மானிக்க முடியாது. மேலும், அச்சுறுத்தல்களை நெட்வொர்க்கிலிருந்து வெளியேற்றும் திறன் ACL க்கு மட்டும் இல்லை. எனவே, ஃபயர்வால் அறிமுகப்படுத்தப்பட்டது.
இணையத்திற்கான இணைப்பு இனி நிறுவனங்களுக்கு விருப்பமல்ல. இருப்பினும், இணையத்தை அணுகுவது நிறுவனத்திற்கு நன்மைகளை வழங்குகிறது; இது அமைப்பின் உள் வலைப்பின்னலுடன் தொடர்பு கொள்ள வெளி உலகத்திற்கு உதவுகிறது. இது அமைப்புக்கு அச்சுறுத்தலை உருவாக்குகிறது. உள் நெட்வொர்க்கை அங்கீகரிக்கப்படாத போக்குவரத்திலிருந்து பாதுகாக்க, எங்களுக்கு ஃபயர்வால் தேவை.
ஃபயர்வால் எவ்வாறு இயங்குகிறது
ஃபயர்வால் அதன் அட்டவணையில் வரையறுக்கப்பட்ட விதி தொகுப்பிற்கு எதிராக பிணைய போக்குவரத்துடன் பொருந்துகிறது. விதி பொருந்தியதும், பிணைய போக்குவரத்திற்கு இணை நடவடிக்கை பயன்படுத்தப்படும். எடுத்துக்காட்டாக, மனிதவளத் துறையின் எந்தவொரு பணியாளரும் குறியீடு சேவையகத்திலிருந்து தரவை அணுக முடியாது என்பதால் விதிகள் வரையறுக்கப்படுகின்றன, அதே நேரத்தில் கணினி நிர்வாகி மனிதவள மற்றும் தொழில்நுட்பத் துறையிலிருந்து தரவை அணுக முடியும் என்பது போல மற்றொரு விதி வரையறுக்கப்படுகிறது. அமைப்பின் தேவை மற்றும் பாதுகாப்புக் கொள்கைகளின் அடிப்படையில் ஃபயர்வாலில் விதிகள் வரையறுக்கப்படலாம்.
சேவையகத்தின் கண்ணோட்டத்தில், பிணைய போக்குவரத்து வெளிச்செல்லும் அல்லது உள்வரும்தாக இருக்கலாம். ஃபயர்வால் இரண்டு நிகழ்வுகளுக்கும் ஒரு தனித்துவமான விதிகளை பராமரிக்கிறது. பெரும்பாலும் வெளிச்செல்லும் போக்குவரத்து, சேவையகத்திலிருந்தே தோன்றியது, கடந்து செல்ல அனுமதிக்கப்படுகிறது. இருப்பினும், அதிக பாதுகாப்பை அடைவதற்கும் தேவையற்ற தகவல்தொடர்புகளைத் தடுப்பதற்கும் வெளிச்செல்லும் போக்குவரத்தில் ஒரு விதியை அமைப்பது எப்போதும் சிறந்தது. உள்வரும் போக்குவரத்து வித்தியாசமாக நடத்தப்படுகிறது. ஃபயர்வாலை அடையும் பெரும்பாலான போக்குவரத்து இந்த மூன்று முக்கிய போக்குவரத்து அடுக்கு நெறிமுறைகளில் ஒன்றாகும் – TCP, UDP அல்லது ICMP. இந்த வகைகள் அனைத்தும் மூல முகவரி மற்றும் இலக்கு முகவரியைக் கொண்டுள்ளன. மேலும், டி.சி.பி மற்றும் யு.டி.பி ஆகியவை போர்ட் எண்களைக் கொண்டுள்ளன. ஐ.சி.எம்.பி போர்ட் எண்ணுக்கு பதிலாக வகை குறியீட்டைப் பயன்படுத்துகிறது, இது அந்த பாக்கெட்டின் நோக்கத்தை அடையாளம் காட்டுகிறது.
இயல்புநிலை கொள்கை: ஃபயர்வாலில் சாத்தியமான ஒவ்வொரு விதியையும் வெளிப்படையாக மறைப்பது மிகவும் கடினம். இந்த காரணத்திற்காக, ஃபயர்வால் எப்போதும் இயல்புநிலை கொள்கையைக் கொண்டிருக்க வேண்டும். இயல்புநிலை கொள்கை செயலை மட்டுமே கொண்டுள்ளது (ஏற்றுக்கொள்ளுங்கள், நிராகரிக்கவும் அல்லது கைவிடவும்).
ஃபயர்வாலில் சேவையகத்துடன் SSH இணைப்பு பற்றி எந்த விதியும் வரையறுக்கப்படவில்லை என்று வைத்துக்கொள்வோம். எனவே, இது இயல்புநிலை கொள்கையைப் பின்பற்றும். ஃபயர்வாலில் இயல்புநிலை கொள்கை ஏற்றுக்கொள்ள அமைக்கப்பட்டால் , உங்கள் அலுவலகத்திற்கு வெளியே உள்ள எந்த கணினியும் சேவையகத்திற்கு ஒரு SSH இணைப்பை நிறுவ முடியும். எனவே, இயல்புநிலை கொள்கையை துளி (அல்லது நிராகரிக்க) என அமைப்பது எப்போதும் ஒரு நல்ல நடைமுறையாகும்.
ஃபயர்வாலின் தலைமுறை
ஃபயர்வால்களை அதன் தலைமுறையின் அடிப்படையில் வகைப்படுத்தலாம்.
1 .முதல் தலைமுறை- பாக்கெட் வடிகட்டுதல் ஃபயர்வால்:(First Generation- Packet Filtering Firewall)
வெளிச்செல்லும் மற்றும் உள்வரும் பாக்கெட்டைக் கண்காணிப்பதன் மூலம் நெட்வொர்க் அணுகலைக் கட்டுப்படுத்த பாக்கெட் வடிகட்டுதல் ஃபயர்வால் பயன்படுத்தப்படுகிறது மற்றும் மூல மற்றும் இலக்கு ஐபி முகவரி, நெறிமுறைகள் மற்றும் துறைமுகங்கள் ஆகியவற்றின் அடிப்படையில் அவற்றை அனுப்ப அல்லது நிறுத்த அனுமதிக்கிறது. இது போக்குவரத்து நெறிமுறை அடுக்கில் போக்குவரத்தை பகுப்பாய்வு செய்கிறது (ஆனால் முக்கியமாக முதல் 3 அடுக்குகளைப் பயன்படுத்துகிறது).
பாக்கெட் ஃபயர்வால்கள் ஒவ்வொரு பாக்கெட்டையும் தனிமையில் நடத்துகின்றன. ஒரு பாக்கெட் ஏற்கனவே இருக்கும் போக்குவரத்தின் ஒரு பகுதியாக இருக்கிறதா என்று சொல்லும் திறன் அவர்களுக்கு இல்லை. தனித்துவமான பாக்கெட் தலைப்புகளின் அடிப்படையில் பாக்கெட்டுகளை இது அனுமதிக்க அல்லது மறுக்க முடியும்.
பாக்கெட் வடிகட்டுதல் ஃபயர்வால் ஒரு வடிகட்டுதல் அட்டவணையை பராமரிக்கிறது, இது பாக்கெட் அனுப்பப்படுமா அல்லது நிராகரிக்கப்படுமா என்பதை தீர்மானிக்கிறது. கொடுக்கப்பட்ட வடிகட்டுதல் அட்டவணையிலிருந்து, பின்வரும் விதிகளின்படி பாக்கெட்டுகள் வடிகட்டப்படும்:
1. Incoming packets from network 192.168.21.0 are blocked.
2. Incoming packets destined for internal TELNET server (port 23) are blocked.
3. Incoming packets destined for host 192.168.21.3 are blocked.
4. All well-known services to the network 192.168.21.0 are allowed.
இரண்டாம் தலைமுறை- மாநில ஆய்வு ஃபயர்வால்: (Second Generation- Stateful Inspection Firewall)
பாக்கெட் வடிகட்டுதல் ஃபயர்வாலைப் போலன்றி, ஸ்டேட்ஃபுல் ஃபயர்வால்கள் (ஸ்டேட்ஃபுல் பாக்கெட் பரிசோதனையைச் செய்கிறது) பாக்கெட்டின் இணைப்பு நிலையை தீர்மானிக்க முடிகிறது, இது மிகவும் திறமையானதாகிறது. இது TCP streams போன்ற நெட்வொர்க்குகள் இணைப்பின் நிலையை கண்காணிக்கும். எனவே வடிகட்டுதல் முடிவுகள் வரையறுக்கப்பட்ட விதிகளின் அடிப்படையில் மட்டுமல்ல, மாநில அட்டவணையில் பாக்கெட்டின் வரலாற்றையும் அடிப்படையாகக் கொண்டிருக்கும்.
மூன்றாம் தலைமுறை- பயன்பாட்டு அடுக்கு ஃபயர்வால்: (Third Generation- Application Layer Firewall : )
பயன்பாட்டு அடுக்கு ஃபயர்வால் எந்த ஓஎஸ்ஐ அடுக்கிலும், பயன்பாட்டு அடுக்கு வரை பாக்கெட்டுகளை ஆய்வு செய்து வடிகட்டலாம். இது குறிப்பிட்ட உள்ளடக்கத்தைத் தடுக்கும் திறனைக் கொண்டுள்ளது, மேலும் சில பயன்பாடு மற்றும் நெறிமுறைகள் (HTTP, FTP போன்றவை) தவறாகப் பயன்படுத்தப்படும்போது அடையாளம் காணவும். வேறுவிதமாகக் கூறினால், பயன்பாட்டு அடுக்கு ஃபயர்வால்கள் ப்ராக்ஸி சேவையகங்களை இயக்கும் ஹோஸ்ட்கள். ப்ராக்ஸி ஃபயர்வால் ஃபயர்வாலின் இருபுறமும் நேரடி தொடர்பைத் தடுக்கிறது, ஒவ்வொரு பாக்கெட்டும் ப்ராக்ஸி வழியாக செல்ல வேண்டும். இது முன் வரையறுக்கப்பட்ட விதிகளின் அடிப்படையில் போக்குவரத்தை அனுமதிக்கலாம் அல்லது தடுக்கலாம்.(Note: Application layer firewalls can also be used as Network Address Translator(NAT).)
அடுத்த தலைமுறை ஃபயர்வால்கள் (என்ஜிஎஃப்டபிள்யூ):(Next Generation Firewalls (NGFW) 🙂
முன்கூட்டியே தீம்பொருள் தாக்குதல்கள் மற்றும் பயன்பாட்டு-அடுக்கு தாக்குதல்கள் போன்ற நவீன பாதுகாப்பு மீறல்களை நிறுத்த அடுத்த தலைமுறை ஃபயர்வால்கள் இந்த நாட்களில் பயன்படுத்தப்படுகின்றன. இந்த நவீன அச்சுறுத்தல்களிலிருந்து பிணையத்தைப் பாதுகாக்க ஆழமான பாக்கெட் ஆய்வு, பயன்பாட்டு ஆய்வு, எஸ்எஸ்எல் / எஸ்எஸ்எச் ஆய்வு மற்றும் பல செயல்பாடுகளை என்ஜிஎஃப்டபிள்யூ கொண்டுள்ளது.
அடுத்த தலைமுறை ஃபயர்வால்கள் (என்ஜிஎஃப்டபிள்யூ):(Next Generation Firewalls (NGFW) 🙂
ஃபயர்வால்கள் பொதுவாக இரண்டு வகைகளாகும்: ஹோஸ்ட் அடிப்படையிலான மற்றும் பிணைய அடிப்படையிலான.
1. ஹோஸ்ட் அடிப்படையிலான ஃபயர்வால்கள்: (Host- based Firewalls )
ஒவ்வொரு நெட்வொர்க் முனையிலும் ஹோஸ்ட் அடிப்படையிலான ஃபயர்வால் நிறுவப்பட்டுள்ளது, இது ஒவ்வொரு உள்வரும் மற்றும் வெளிச்செல்லும் பாக்கெட்டையும் கட்டுப்படுத்துகிறது. இது ஒரு மென்பொருள் பயன்பாடு அல்லது பயன்பாடுகளின் தொகுப்பு, இயக்க முறைமையின் ஒரு பகுதியாக வருகிறது. ஹோஸ்ட் அடிப்படையிலான ஃபயர்வால்கள் தேவை, ஏனெனில் நெட்வொர்க் ஃபயர்வால்கள் நம்பகமான பிணையத்திற்குள் பாதுகாப்பை வழங்க முடியாது. ஹோஸ்ட் ஃபயர்வால் ஒவ்வொரு ஹோஸ்டையும் தாக்குதல்கள் மற்றும் அங்கீகரிக்கப்படாத அணுகலிலிருந்து பாதுகாக்கிறது.
2. நெட்வொர்க் அடிப்படையிலான ஃபயர்வால்கள்: (Network-based Firewalls )
பிணைய மட்டத்தில் பிணைய ஃபயர்வால் செயல்பாடு. வேறு வார்த்தைகளில் கூறுவதானால், இந்த ஃபயர்வால்கள் நெட்வொர்க் முழுவதும் உள்வரும் மற்றும் வெளிச்செல்லும் அனைத்து போக்குவரத்தையும் வடிகட்டுகின்றன. ஃபயர்வாலில் வரையறுக்கப்பட்ட விதிகளைப் பயன்படுத்தி போக்குவரத்தை வடிகட்டுவதன் மூலம் இது உள் நெட்வொர்க்கைப் பாதுகாக்கிறது. ஒரு பிணைய ஃபயர்வாலில் இரண்டு அல்லது அதற்கு மேற்பட்ட பிணைய இடைமுக அட்டைகள் (NIC கள்) இருக்கலாம். நெட்வொர்க் அடிப்படையிலான ஃபயர்வால் பொதுவாக தனியுரிம மென்பொருளுடன் நிறுவப்பட்ட ஒரு பிரத்யேக அமைப்பாகும்.
இரண்டு வகையான ஃபயர்வால்களும் அவற்றின் சொந்த நன்மைகளைக் கொண்டுள்ளன.
மேற்கோள்கள்: (References)
https://en.wikipedia.org/wiki/Firewall_(computing)
https://www.cisco.com/c/en_in/products/security/firewalls/what-is-a-firewall.html
http: / /nptel.ac.in/courses/106105084/31